Sou bastante novo em criptografia e SSL. Hoje eu pesquisei um pouco (li alguns artigos sobre segurança) e encontrei o site https://cacert.org . Eu cliquei e fiquei surpreso. O Chrome me mostrou um erro “não confiável”. O certificado SSL parece não ser válido. Pesquisei o certificado e ele me mostra que a agência de certificação não é mais confiável. Eu tenho algumas perguntas agora:
- Não é CAcert uma agência de certificação em si?
- Por que isso?
- Isso poderia ser algum tipo de ataque abordagem? (MITM)
- O que posso fazer?
- Onde posso obter mais informações?
Resposta
No caso de cacert.org, eles estão apresentando um certificado autoassinado e é por isso que seu navegador reclama. Não há cadeia de confiança que leve do certificado a uma CA raiz em que você confia.
Se você estivesse usando uma distribuição do Linux que vem com o certificado pré-instalado, não veria um aviso. seria inferido que, ao usar tal sistema, você confia na comunidade.
No caso de outros sistemas operacionais, você confia na PKI pública que é suportada (e fornecida na forma de um armazenamento de certificado raiz embutido em seus produtos ) da Microsoft, Apple, Google ou Mozilla.
Cacert.org está fora dessa infraestrutura e é por isso que você vê um aviso.
Por quê?
Sua decisão de “negócios”. Eles são livres para fazer o que quiserem ao fornecer serviços da web. Eles podem pedir aos usuários que instalem sua CA raiz, podem investir dinheiro e obter um certificado assinado para seu site ou não investir e obter um certificado de criptografia gratuita * .
Eles escolheram o primeiro modelo, aparentemente porque se encaixa no propósito deles e na ideia de “coma sua própria ração”.
O que você pode fazer?
Depende do que você deseja fazer. Você pode acessar o site com http://cacert.org/ e ler.
Se quiser acessá-lo com HTTPS, você pode exibir o certificado fornecido, examine-o você mesmo. Em seguida, tome sua própria decisão de confiar nele.
A parte complicada é que ele realmente pode ser um ataque MitM, então você deve comparar a assinatura digital do certificado que você obteve com uma assinatura obtida por meio de outra conexão confiável. Eles publicam as impressões digitais aqui , mas até que você confie neles reais, você não pode realmente confiar que o site pertence ao real então. Catch 21.
Você pode confirmar a assinatura com outra fonte de sua confiança (amigo, ou apenas pesquisar no Google a impressão digital que você obteve e avaliar, se estiver em todos os lugares confiáveis, tem chances de ser válida) ou usar o Debian que vem com seus certificado raiz pré-instalado para acessar o site por HTTPS.
Você pode seguir o link para obter instruções sobre como instalar sua CA raiz, instalar e confiar nos certificados que eles assinaram a partir de agora (incluindo o seu próprio) .
* Tecnicamente, eles poderiam usar um certificado reconhecido pela infraestrutura pública de seu site e evitar o problema de confiança inicial, mas talvez eles tenham decidido fazer você perguntar tal pergunta é melhor para a disseminação de conhecimento …
Comentários
- " talvez eles tenham decidido que fazer você faz essa pergunta é melhor para espalhar o conhecimento … " como você vê que funcionou 🙂 Obrigado por esta resposta!
Resposta
Os certificados emitidos pelo CAcert não são autoassinados. Seu certificado raiz é autoassinado, como todas as outras CAs têm.
Por que a raiz CAcert não está incluída em nenhum dos principais navegadores (fazendo com que seu Chrome exiba o não seguro) é uma história completamente diferente . Eles se inscreveram, mas nunca conseguiram fazer as alterações solicitadas em suas políticas / procedimentos e comprovar as alterações no CA / Fórum do navegador.
Página da Wikipedia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status afirma:
A CAcert retirou o pedido de inclusão no final de abril 2007.
Então, agora eles estão apenas desaparecendo.